Skrip Shell Serangan XZ

Skrip shell serangan xz

• Andres Freund mengungkap keberadaan serangan xz pada 29 Maret 2024.
• Serangan ini terbagi menjadi dua bagian: skrip shell dan file objek.
• Skrip shell menambahkan file objek ke proses build selama proses make.
• File objek berbahaya dan kode shell ditambahkan dalam keadaan terkompresi dan terenkripsi dengan menyamar sebagai "input pengujian".

Konfigurasi

• xz-utils menggunakan GNU autoconf untuk menentukan metode build yang sesuai dengan sistem.
• Penyerang menambahkan pustaka pendukung yang tidak terduga ke distribusi tarball.
• Pustaka pendukung ini berisi kode berbahaya.

Melihat kembali konfigurasi

• Pustaka pendukung yang ditambahkan penyerang mencari pola tertentu lalu mengatur file terkait.
• Skrip ini menemukan file berbahaya dan mengeksekusinya untuk menyuntikkan kode shell.

Eksekusi skrip shell

• Skrip shell berbahaya hanya dijalankan di lingkungan yang diperlukan setelah melewati beberapa tahap pemeriksaan.
• Skrip tersebut menambahkan beberapa baris ke Makefile untuk menyisipkan kode berbahaya ke dalam proses build.

Opini GN⁺

• Serangan ini mengungkap kerentanan keamanan dalam perangkat lunak open source, dan para pengembang perlu menyadari pentingnya code review serta audit keamanan.
• Metode serangan ini merupakan contoh serangan rantai pasok perangkat lunak, sehingga diperlukan langkah-langkah untuk mencegah serangan semacam ini.
• Artikel ini dapat membangkitkan kewaspadaan para pengembang dengan menunjukkan metode serangan yang mengeksploitasi kompleksitas skrip shell dan sistem build.
• Dari sudut pandang kritis, serangan seperti ini dapat menimbulkan pertanyaan tentang keandalan proyek open source.
• Dengan memanfaatkan pengetahuan di bidang terkait, artikel ini menekankan pentingnya pemeriksaan keamanan dalam proses pengembangan dan distribusi perangkat lunak.